APT31/цирконій

APT31 — це група розширених постійних загроз, зосереджена на крадіжці інтелектуальної власності та зловживанні. Цю групу також називають Zirconium, Judgement Panda і Bronze Vinewood різними організаціями безпеки. Як і в більшості інших груп APT, є підозри, що APT31 може бути спонсорованим державою, і в цьому випадку підозрюваною державою є Китай. Влітку 2020 року група Google Threat Analysis Group припустила, що APT31 був націлений на президентську кампанію Джо Байдена за допомогою фішингових листів.

Нещодавно TAG помітив, що китайська група APT націлена на передвиборчу кампанію Байдена, а Іранська APT – на передвиборчу кампанію Трампа за допомогою фішингу. Жодних ознак компромісу. Ми надіслали користувачам наше попередження про напади з боку уряду та звернулися до правоохоронних органів. https://t.co/ozlRL4SwhG

— Шейн Хантлі (@ShaneHuntley) 4 червня 2020 року

Процес примусового переспрямування APT31

Ще у 2017 році APT31 проводив найбільшу операцію зі зловживання рекламою. Група створила не менше 28 фейкових рекламних компаній. За даними Confiant, Zirconium купив приблизно 1 мільярд переглядів реклами і зумів потрапити на 62% усіх рекламних веб-сайтів. Основним використаним вектором атаки APT31 було примусове перенаправлення. Примусове переспрямування відбувається, коли хтось, хто переглядає веб-сайт, перенаправляється на інший веб-сайт без жодних дій. Веб-сайт, на який потрапляє користувач, зазвичай використовується як частина шахрайства або призводить до зараження шкідливим програмним забезпеченням.

Знімок екрана домашньої сторінки MyAdsBro – джерело: блог Confiant.com

APT31 створив і використовував Beginads, фейкове рекламне агентство, для встановлення відносин із рекламними платформами. Згодом він став доменом, який Zirconium використовуватиме для спрямування трафіку для всіх кампаній усіх їхніх фейкових агентств. APT31 наполегливо працював, щоб переконатися, що вони мають законні відносини з низкою реальних рекламних платформ. Такий підхід також надав схемі певну стійкість і зменшив ймовірність викликати підозри. APT31 також перепродав трафік партнерським маркетинговим платформам. Ця домовленість означала, що APT31 не повинен був самостійно обробляти цільові сторінки. Кіберзлочинці пішли далі , створивши партнерську мережу, якою самі керували. Мережа отримала назву MyAdsBro. APT31 раніше проводив власні кампанії через MyAdsBro, але інші також могли направляти трафік на MyAdsBro за комісію.

Скріншот веб-панелі клієнта – джерело: блог Confiant.com

Після того, як переспрямування відбулося, користувачів спонукали увімкнути зараження за допомогою деяких з найпопулярніших тактик:

• Підроблені спливаючі вікна оновлення Adobe Flash Player
• Підроблені антивірусні спливаючі вікна
• Шахрайство з технічною підтримкою
• Різні лякають повідомлення

APT31 доклав багато зусиль, коли створив свою схему і зробив її легітимною. Усі фейкові агентства мали різноманітні маркетингові матеріали, фейкові офіцери з профілями в соціальних мережах і навіть пости в цих медіа з унікальним контентом. Більшість компаній масового виробництва Цирконію були запущені навесні 2017 року. Не всі з 28 були використані, оскільки 8 з них ніколи не почали свою присутність у соціальних мережах і не брали участь у жодній рекламній діяльності . Зусилля кіберзлочинця були явно вдалими. Підробним агентствам APT31 вдалося встановити прямі ділові відносини з 16 реальними рекламними платформами.

Лише невелику частину трафіку вони перенаправляли на реальне корисне навантаження. Щоб уникнути виявлення та аналізу, Цирконій використовував методи ухилення. APT31 використовував техніку під назвою зняття відбитків пальців. Це процес, коли кіберзлочинці збирають інформацію про системи потенційних жертв, щоб точніше орієнтуватися на певну частину аудиторії. Мета кіберзлочинців при використанні відбитків пальців – уникнути виявлення. З цією метою вони використовували JavaScript у браузері, щоб спробувати перевірити, чи працює сценарій проти сканера безпеки. Якщо виявлено ознаки сканера, корисне навантаження не буде доставлено. Існує ризик, пов’язаний із зняттям відбитків пальців. Сценарій бачить будь-хто, хто його шукає, і це може викликати підозру, але відбиток пальців дозволяє збільшити кількість розгортань корисного навантаження.

APT31 використовує свою підступну тактику

Є й інші способи уникнути виявлення, які не передбачають запуску сценарію на стороні користувача. Механізми на стороні сервера можуть бути безпечнішими у застосуванні, оскільки дослідник безпеки не зможе їх проаналізувати, якщо вони не спрацюють. Одним із таких підходів є перевірка, чи є IP-адреса користувача IP-адресою центру обробки даних. Сканери часто використовують IP-адреси центрів обробки даних, і виявлення такої IP-адреси буде чітким ознакою того, що корисне навантаження не розгортається.

Незважаючи на вражаючі масштаби злоякісної операції APT31, дослідники безпеки все ще визначають, що їх основним напрямком є крадіжка інтелектуальної власності. Справжній масштаб усіх операцій Цирконію досі невідомий, як і їхній потенціал завдати шкоди.